Les journaux sont destinés à des informations qui ne sont pas suffisamment intéressantes
pour être validées en dépêche (sinon n'hésitez pas à proposer votre information en
dépêche), qui sont sans rapport avec Linux ou le libre, ou simplement pour donner votre
avis. Si vous désirez poser une question, merci d'utiliser Derniers journaux de Zorro :
- [06/10@13:58] Mandrakesoft Move II est sortie
- [28/09@09:37] SNCF et Firefox : enfin compatibles !
- [17/09@10:07] L'incompréhensible Balsa
- [15/09@09:43] Firefox filtre moins bien les cookies ?
- [03/09@12:01] Grosses photos du clavier Linux de Cherry
- [27/08@13:15] La MandrakeMove morte-vivante ?
- [26/08@17:08] Mandrake invente le live-disque dur
- [04/08@12:53] Linux Planète, sales menteurs, voleurs !!!
- [28/07@11:26] Rions un peu avec Mandrake
- [30/06@17:52] Les poursuites pour téléchargements commencent
- [14/06@10:24] Farenheit 9/11 encore censuré
- [28/05@15:20] MandrakeMove, c'est reparti
- [24/05@13:19] Nouvelle Suse ?
- [10/05@12:51] CV et lobotomie
- [07/05@08:39] J'arrive pas à lire les images pour voter
- [04/05@09:07] Toolbar DLFP et mauvais rafraichissement graphique avec Firefox
- [28/04@16:06] Turbo Linux compatible WMA et DVD
- [28/04@15:59] Vive la Droite.
- [26/04@09:02] Nouveau bouton "Envoyer" pour les commentaires
- [29/03@10:20] Un pop-up malgré le filtre de Firefox
Journal : Usurpation de clé GPG, c'est possible ?
Posté par Zorro () le 21 octobre 2004Est-ce que ça vous est déjà arrivé ? Est-ce un mauvais plaisantin ? Il peut envoyer des mails chiffrés en se faisant pour moi, maintenant ? Je ne crois pas qu'il soit possible de les virer des serveurs autrement qu'en les révoquant... La seule solution est-elle alors de TOUJOURS prendre et recommander des clés dûment signées ?
Je suis assez perplexe, en fait... Ou alors je crée des nouveaux UID dans ma vraie clé, qui disent, en commentaire, de pas tenir compte des autres ? Mais je crois pas que le champ commentaire de l'UID soit fait pour faire des messages, non ? Vraiment contrariant, en tout cas.
> Lire le journal (11 commentaires, moyenne: 2,2).
Tu oublies un détail ...
Une signature GPG n'a jamais de valeur si à un moment donné on n'authentifie pas celui qui les utilise d'une manière ou d'une autre. Et ca passe souvent par la présentation de papiers d'identité lors de l'échange.
Vous me direz qu'une carte d'identité ca s'achète ... oui enfin bon :)
M
-
[^]Re: Tu oublies un détail ...
Posté par Calim' Héros (Jabber id, page perso, ) le 21/10/2004 à 13:49. (lien). Évalué à 2.C'est pas tout a fait ca, elle n'a de valeur que celle que tu lui accorde ou que tu accorde a la somme des signatures de cette clé.
Cela ne passe pas obligatoirement par des papiers d'identité (enfin perso je demande pas les papiers des amis par exemple)-
[^]Re: Tu oublies un détail ...
Posté par Hugues HIEGEL (Jabber id, page perso, ) le 21/10/2004 à 16:09. (lien). Évalué à 2.En fait, ça passe obligatoirement par un contact physique, où l'on s'échange les signatures GPG des clefs qui sont réellement utilisées par chacune des parties.
Donc l'histoire des papiers d'identité n'est pas si idiote, car fortement liée à ce même principe.
C'est LE seul moyen de véritablement garantir l'authenticité de ta clef. Après ce contact, tu vas "signer" (j'ai oublié le vrai terme) la clef du gars que tu viens de croiser, et lui fera de même avec la tienne : garantie que la clef diffusée a bien été vérifiée par untel ou untel. (c'est le principe des trusted keys, je crois).-
[^]Re: Tu oublies un détail ...
Posté par Calim' Héros (Jabber id, page perso, ) le 21/10/2004 à 19:25. (lien). Évalué à 2.Non, d'ailleurs il y avait un tres bon article sur la stupidité des signing party ou l'on marchait a coup de pieces d'identité la raison principal etant que 99.9999999% si ce n'est plus des participant sont incapable de s'assurer de la validité des dits papiers.
D'ailleurs il existe le cas typique de tes amis ou tu ne leur demande pas leurs papiers. Apres il ton peut etre mentit tout ce temps la...
De plus dans le cas de la confiance aux papiers d'identité il ne faut pas oublier que le gars derriere peut quand meme etre le pire escrots, la plus belle ordure du monde et qu'en plus tu lui fera confiance.
Non serieusement, les papiers d'identité ca vaux rien pour ce type d'evenement, a moins de s'en donner les moyens technique et/ou humain de verfier les dit papiers et l'honnetteté des gens. Autant dire que les cas ou cela est possible sont rares de par le couts et la loi (hein, l'acces au casier judiciare tu l'as pas comme ca)-
[^]Re: Tu oublies un détail ...
Posté par Foxy (page perso, ) le 21/10/2004 à 20:19. (lien). Évalué à 2.Le problème est qu'avec les systèmes d'authentification d'utilisateurs (que ce soit par clé GPG ou par certificats X509), à un moment ou un autre, il faut se fier à une preuve physique de l'identité.
Pour GPG, on fait généralement ça lors de keys-signing parties où chacun présente ces papiers et valident ses clés par ses fingerpints.
Pour les certificats numériques, les fournisseurs de certificats (Thawte, Verisign) font de même avec une présentation de preuve d'identité.
Néanmoins, il faut bien à un moment prendre cette preuve pour argent comptant.
Personne (ni une personne physique, ni un organisme de certification) n'a la possibilité de vérifier l'authenticité de cette preuve. Seul un Etat peut vérifier l'authenticité de papier d'identité.
Si on accepte pas ce postulat de base, autant abandonner directement la notion de "web of trust" pour les clés GPG.-
[^]Re: Tu oublies un détail ...
Posté par Calim' Héros (Jabber id, page perso, ) le 21/10/2004 à 22:08. (lien). Évalué à 4.non, il ne faut pas abandonner la notion de web of trust mas la faire reposer sur un reseau de connaissance et pas autre chose, personellement je n'attribut pas ou peut de valeur a des signatures de gens que je ne connais pas.
En ce qui concerne les fournisseurs de certificats ils peuvent deja sans aller jusqu'au casier :
- avoir du materiel detectant les faux papier d'identiter
- avoir du personnel former pour ce servir de ce materiel et les personnes au comportement louche (les phisionomiste, pas les vulgaires videur)
- avoir des acces aux registre du commerce plus aisaiment pour les entreprises (qui elle on peut etre des facilités pour avoir acces a ton extres de casier (perso mon employeur en a eu un via un papier que j'ai signé)-
[^]Re: Tu oublies un détail ...
Posté par Foxy (page perso, ) le 22/10/2004 à 10:17. (lien). Évalué à 2.non, il ne faut pas abandonner la notion de web of trust mas la faire reposer sur un reseau de connaissance et pas autre chose, personellement je n'attribut pas ou peut de valeur a des signatures de gens que je ne connais pas.
C'est d'ailleurs pour cela que dans GPG, tu peux donner un niveau de confiance (de 1à 4) aux clés que tu signes :
- niveau 1 : on ne fait pas de tout confiance à la personne à qui appartient cette clé (i.e. il signe vraiment n'importe quelle clé sans même avoir rencontré physiquement les possesseurs de clés)
- niveau 4 : c'est un très bon copain, j'ai entièrement confiance en lui et je sais qu'il est très rigoureux dans la vérification des clés qu'il signe
Avec ces indicateurs, on peut reconstruire un "web of trust" avec un niveau de confiance pour un "chemin" de signatures entre 2 clés.
-
-
-
[^]Re: Tu oublies un détail ...
Posté par imalip (page perso, ) le 22/10/2004 à 09:18. (lien). Évalué à 3.il ne faut pas oublier que le gars derriere peut quand meme etre le pire escrots, la plus belle ordure du monde et qu'en plus tu lui fera confiance.
Quel rapport entre la signature de clef GPG et le fait que ca soit un escroc ? J'aurai confiance dans le fait que c'est bien lui qui a signe un document, je ne vais pas lui confier mes economies, lui donner une procuration pour voter a ma place ou que sais-je.
Signer une clef GPG, c'est une verification d'identite, pas de moeurs ou d'opinion.
Au passage, rien a voir, mais quel est le rapport entre http et w3c ? C'est le (X)HTML qui est defini par le W3C. Pour l'HTTP, il faut plutot voir du cote de l'IETF. Enfin c'est peut-etre voulu, ou j'ai peut-etre pas compris...--
"While a monkey can be a manager, it takes a human to be an engineer" Erik Zapletal-
[^]Re: Tu oublies un détail ...
-
[^]Re: Tu oublies un détail ...
Posté par Blackknight (Jabber id, page perso, ) le 22/10/2004 à 12:16. (lien). Évalué à 1.heu, c'est pas plutôt http://www.w3.org/Protocols/(...) ?
-
-
-
-
-
J'ai eu le cas
Tout d'abord n'importe qui peut créer une clé à ton nom, ce qui fait la valeur de la clé ce n'est pas le nom/email qu'il y a dessus mais par qui elle est signée. Si la tienne est signée ça suffira à quelqu'un pour vérifier que c'est bien toi. Il ne se posera des questions que s'il cherche à connaitre ta clé sans l'avoir préalablement reçue (donc s'il cherche à s'en servir pour cryptage et pas pour signature).
Ceci dit si quelqu'un a monté une clé qui n'est pas à toi, je serai toi je me demanderai pourquoi il a fait ça, et ce qu'il a bien pu essayer de faire en se faisant passer pour toi. Essaie de récupérer le finger print et faire une recherche avec sur le net, voir si quelqu'un a mis un message sur une ml public avec ton nom et cette clé.
Quand au fait d'avoir une clé à son nom non utilisée sur les serveurs de clé ... ça m'est arrivé. Bon, moi c'était ma faute, une erreur de manip avec une clé dont je n'avais plus le certificat de révocation ... Mais après quelques échanges avec un admin il y avait moyen de faire retirer la clé (ou plutot de la faire désactiver, elle est toujours là mais ne sera pas proposée dans les recherches). Je n'ai pas poursuivi car de toutes façons j'ai changé d'adresse email peu après mais c'est faisable. Si ça peut t'aider ...
Cette page a été générée par Templeet en 0.0773s (dont 0.0061 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.